Техническая информация
Изменения в файловой системе
Самоудаляется.
Сетевая активность
Подключается к
- 'cd#.#qb3.com':80
- 'cd#.#uilet.com':80
- 'ap##.#ame.qq.com':80
- 'cd#.#ackow.com':80
- 'sp#.#aidu.com':443
- 'si##.ip138.com':443
- 'ip.cn':443
TCP
Запросы HTTP GET
- http://cd#.#qb3.com/API/General/client_log_user
- http://cd#.#uilet.com/api/filegoto1/d840663fbadb0367
- http://cd#.#ackow.com/api/filegoto1/d840663fbadb0367
- http://ap##.#ame.qq.com/comm-htdocs/ip/get_ip.php
- http://cd#.#qb3.com/api/filegoto1/d840663fbadb0367
- http://cd#.#qb3.com/API/General/lsrpu
Другие
- 'sp#.#aidu.com':443
- 'si##.ip138.com':443
- 'ip.cn':443
UDP
- DNS ASK cd#.#qb3.com
- DNS ASK ap##.#ame.qq.com
- DNS ASK cd#.#uilet.com
- DNS ASK cd#.#ackow.com
- DNS ASK sp#.#aidu.com
- DNS ASK d8######badb0367.gazigz.cn
- DNS ASK 58.###mon.gazigz.cn
- DNS ASK si##.ip138.com
- DNS ASK ip.cn
- DNS ASK download.windowsupdate.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del /Q /F "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del /Q /F "<Полный путь к файлу>"
